Bruno Zani
Atualmente é muito difícil definir onde começa ou termina o perímetro de um ambiente corporativo para implementar as soluções de segurança. Com inúmeros dispositivos móveis conectados e serviços disponíveis na nuvem o perímetro está dissolvido. O foco agora é garantir a segurança do dado, onde quer que ele esteja. Neste cenário, o endpoint se torna um ponto importante de entrada de ameaças e que precisa ser protegido adequadamente.
Com o intuito de deter ameaças cada vez mais sofisticadas, organizações de segurança e TI têm concentrado seus esforços na detecção e resposta de endpoints ou o que chamamos de solução EDR (Endpoint Detection and Response). Um endpoint inteligente é aquele altamente automatizado e capaz de detectar problemas de segurança de forma mais rápida, responder imediatamente e corrigir os problemas de forma completa. Quando desenvolvidos corretamente, endpoints inteligentes oferecem informações e dados forenses valiosos sobre os comportamentos das ameaças.
Hoje, ameaças avançadas estão atacando mais de um endpoint por vez para obter acesso a dados e sistemas importantes, por meio de múltiplos pontos de apoio. É cada vez mais raro que uma violação de segurança esteja contida dentro de um único sistema ou aplicativo, em grande parte porque muitos ataques são bem-sucedidos ao evadir soluções pontuais de segurança.
Existem duas principais características que devem estar presentes em uma solução de EDR: integração com base em arquitetura comum e gerenciamento centralizado. Na maioria das vezes as empresas já têm numerosas soluções de segurança como antivírus, IPS, gateways e firewalls em suas infraestruturas de segurança, por isso a melhor abordagem é ter uma arquitetura integrada comum, que permita que essas e outras soluções de segurança trabalhem em conjunto para compartilhar informações e responder de forma mais rápida e automatizada. Já o gerenciamento centralizado melhora a visibilidade, reduz a complexidade e impede que existam lacunas e sobreposições de soluções diferentes.
Entre outros benefícios, o EDR auxilia a balancear a equação em favor de defesas integradas, colaborativas e automatizadas que detectam e agem rapidamente para reduzir a janela de tempo que ameaças novas e emergentes têm para causar estragos. Também oferece mais informações sobre o comportamento, as origens e os métodos utilizados pelos atacantes, para que os administradores possam aproveitar esses detalhes forenses para blindar suas políticas e educar os usuários.
O custo para corrigir uma violação de dados pode ser superior a dezenas de milhares de dólares por dia, assim, aumenta a pressão nas empresas para a identificação de problemas com maior confiabilidade e velocidade, a correção imediata desses problemas e a proteção contra outros ataques de endpoint e perda de dados.
Sem uma segurança de endpoint mais rápida, mais confiável e mais eficiente, os profissionais de segurança e TI levarão mais tempo apagando incêndios e correndo atrás da próxima novidade de ameaças avançadas, muitas vezes muito tempo depois de o dano estar feito. Uma solução de endpoint inteligente é capaz de examinar todo ruído produzido pela maioria das defesas de segurança, o que normalmente é demonstrado com números desordenados de alertas ou aumento de incidentes falsos positivos.
*Bruno Zani é gerente de engenharia de sistemas da Intel Security